Adobe hat vor einigen Tagen die neue Version 10 seines Adobe Reader veröffentlicht (Marketingname: Adobe Reader X). Eine der wichtigsten Neuerungen ist der “Protected Mode” (“Geschützter Modus”), der eine Art Sandbox um verdächtige Dokumente bildet. Ähnlich wie die geschützte Ansicht in Office 2010 verhindert dieser Modus den Übergriff von möglichen Schadfunktionen in PDF-Dokumenten auf das Computersystem des Benutzers. Eine sehr sinnvolle Funktion also.
Nur leider hat das ein paar Haken: Der Protected Mode funktioniert nämlich in einer ganzen Reihe von Situationen nicht. Dazu gehört dummerweise auch der Einsatz auf Terminal Servern mit Citrix – und anscheinend auch mit dem bordeigenen RemoteApp. Ruft man dort den Adobe Reader X auf, so meldet er beim Start:
Update 24. März 2011: Bent Schrader hat herausgefunden, dass in Version 10.0.1 der beschriebene Workaround nicht mehr notwendig ist.
[Adobe Acrobat Reader X auf einem Terminalserver – Bent’s Blog]
http://bent-blog.de/windows/terminalserver/adobe-acrobat-reader-x-auf-einem-terminalserver/
Adobe dokumentiert diese Einschränkungen auch auf seiner Webseite. Dort sind allerdings die Remote Desktop Services (früher: Terminal Services) von Windows 2003 bis 2008 ausdrücklich als kompatibel angegeben. Zumindest im Zusammenhang mit RemoteApp tritt der Fehler allerdings auch auf, nicht nur mit Citrix.
[Protected Mode Troubleshooting | Adobe Reader]
http://kb2.adobe.com/cps/860/cpsid_86063.html
In seiner FAQ gibt Adobe lapidar an, man könne den Protected Mode auch über die Registry abschalten – welchen Key man dafür verwenden muss, darf der geneigte Admin dann selbst rausfinden. Auch sonst sind diese FAQ leider eher ein Eingeständnis, dass man den neuen Modus nicht so richtig toll implementiert hat.
[Protected Mode FAQ – Security and Information Assurance – Adobe Learning Resources]
http://learn.adobe.com/wiki/display/security/Protected+Mode+FAQ
Den Protected Mode zentral abschalten – GPP-Methode
Dabei ist es gar nicht so schwer, den Protected Mode zentral abzuschalten. Da es sich grundsätzlich aber um eine sinnvolle Funktion handelt, empfehle ich das folgende Vorgehen nur für Umgebungen, in denen der neue Modus ein Problem darstellt – eben beispielsweise RemoteApp-Umgebungen.
Der zu ändernde Key in der Registry ist folgender:
[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\10.0\Privileged] "bProtectedMode"=dword:00000000
Dieser Wert muss auf 0 (null) stehen, damit der Protected Mode abgeschaltet ist. Nun helfen die GPP (Group Policy Preferences) dabei, diese Einstellung auf alle RemoteApp-User auszurollen. Man suche sich also eine Gruppenrichtlinie (GPO) heraus, die für die betreffenden Benutzerkonten gilt (bzw. man erzeuge eine neue). Dort öffnet man die Benutzerkonfiguration/ Einstellungen/ Windows-Einstellungen/ Registrierung. Hier fügt man ein neues Element hinzu und trägt dort Folgendes ein:
Speichern, GPO schließen, fertig. Eventuelle getrennte Benutzersitzungen auf dem RemoteApp-Server muss man nun einmal zurücksetzen, damit die User sich tatsächlich neu anmelden. Danach sollte die GPP-Einstellung greifen und der Reader ohne Protected Mode starten.
Prüfen kann der Benutzer dies über die Einstellungen (im Menü “Bearbeiten”). Dort ist auch die Stelle, wo er die Einstellung manuell ändern kann.
Den Protected Mode zentral abschalten – ADM-Methode
Norbert Fehlauer hat folgende ADM-Datei geschrieben. Damit lässt sich der Vorgang auch über “klassische” Gruppenrichtlinien ausführen.
Update 9.12.2010: Christoph Langer hat uns auf einen Fehler in der ursprünglichen ADM-Version hingewiesen. Die unten stehende Fassung ist korrigiert.
; ADM Template Author: Norbert Fehlauer Class User CATEGORY !!CAT_AdobeReaderX POLICY !!Pol_ProtectedModedeaktivieren #IF VERSION >= 4 SUPPORTED !!Supportedon_AdobaReaderX #ENDIF EXPLAIN !!Expl_AdobeProtectedMode KEYNAME "Software\Adobe\Acrobat Reader\10.0\Privileged" PART !!Part_ProtectedModedeaktivieren Checkbox VALUENAME "bProtectedMode" DEFCHECKED VALUEON NUMERIC 0 VALUEOFF NUMERIC 1 END PART END POLICY ;Pol_ProtectedModedeaktivieren END CATEGORY ;CAT_AdobeReaderX [STRINGS] CAT_AdobeReaderX="Adobe Acrobat X" Expl_AdobeProtectedMode="Für weitere Informationen siehe: http://learn.adobe.com/wiki/display/security/Protected+Mode+FAQ" Part_ProtectedModedeaktivieren="Protected Mode deaktivieren" Pol_ProtectedModedeaktivieren="Protected Mode deaktivieren" Supportedon_AdobaReaderX="mindestens Adobe Reader X"
http://faq-o-matic.net/?p=2842